Membangun Mekanisme Transfer Data Pribadi Lintas Batas ASEAN

Kemudian, APEC memperbarui kerangka kerja tersebut pada tahun 2015, sesuai dengan perkembangan pedoman OECD tahun 2013.

APEC mengeluarkan Cross-Border Privacy Rules System (CBPR) yang dapat digunakan para pelaku usaha secara sukarela untuk menunjukkan kepatuhan mereka dengan APEC Privacy Framework. Dari 21 anggota APEC, baru delapan negara menerapkan CBPR.

Instrumen Regional Asia Tenggara

ASEAN menerbitkan ASEAN Framework on Personal Data Protection (ASEAN Framework on PDP) pada tahun 2016.

Instrumen ini bertujuan memperkuat perlindungan data pribadi di ASEAN dan memfasilitasi kerja sama di antara negara-negara anggotanya untuk memajukan perdagangan dan aliran informasi di dalam wilayah ASEAN.

Meskipun memiliki tujuan besar, instrumen ini dengan tegas menyatakan hanya merupakan dokumen yang merefleksikan niat negara-negara ASEAN dan tidak mengikat mereka.

Kerangka ini tidak menciptakan atau dimaksudkan untuk menciptakan kewajiban dalam hukum nasional dan hukum internasional.

ASEAN Framework on PDP mengatur transfer data pribadi lintas batas negara secara sederhana dan fleksibel.

Transfer dapat dilakukan berdasarkan persetujuan subjek data pribadi atau berdasarkan langkah-langkah yang dapat dipertanggung jawabkan untuk memastikan pihak penerima akan melindungi data pribadi konsisten dengan ketentuan instrumen tersebut.

Sampai sejauh mana bentuk instrumen regional yang tidak mengikat dan hanya merupakan pernyataan niat tersebut menunjukkan keseriusan ASEAN dan negara-negara anggotanya dalam membangun sistem perlindungan data pribadi di kawasan Asia Tenggara?

Ekspektasi seseorang dalam memahami keseriusan ASEAN perlu disesuaikan dengan sifat dan natur organisasi ini. Dalam mewujudkan sistem perlindungan data pribadi yang kompatibel di Asia Tenggara, ada beberapa isu yang harus dihadapi oleh negara-negara ASEAN.

Pertama, natur kerja sama yang dikembangkan di ASEAN bukanlah pada harmonisasi sistem hukum sebagaimana di Uni Eropa.

Kedua, hak asasi manusia bukanlah tema kerja sama yang sebagian negara ASEAN dapat dengan mudah mengikatkan diri di dalamnya.

Perlu dicatat, belum semua negara ASEAN meratifikasi atau mengaksesi Kovenan Internasional tentang Hak-Hak Sipil dan Politik. Oleh karena itu, dalam menjalin dan memperkuat kerja sama di bidang hak asasi manusia, komitmen dalam bentuk deklarasi yang tidak mengikat secara formal lebih mengakomodir kepentingan negara-negara ASEAN dibandingkan komitmen dalam bentuk perjanjian.

Aspek hak asasi manusia merupakan bagian penting dalam UU 27/2022. Legislasi tersebut menegaskan bahwa hak atas perlindungan data pribadi merupakan bagian dari pelindungan diri pribadi yang dilindungi Konstitusi.

Dalam transfer data pribadi ke luar teritori Indonesia, pemerintah harus memastikan bahwa hak konstitusional warga negara tetap terlindungi.

Ketiga, belum semua negara ASEAN memiliki legislasi mengenai perlindungan data pribadi. Indonesia menjadi negara keenam di kawasan ASEAN yang memiliki undang-undang khusus mengatur pelindungan data pribadi, setelah Malaysia (2010), Singapore (2012), Filipina (2012), Laos (2017), dan Thailand (2019).

Negara-negara ASEAN lain masih menggunakan peraturan perundang-undangan sektoral dalam mengatur pemrosesan data pribadi.

Kamboja, misalnya, menggunakan undang-undang di bidang telekomunikasi, perdagangan elektronik, dan perlindungan konsumen untuk menciptakan ekosistem perlindungan dalam pemrosesan data pribadi.

Perlindungan data pribadi di negara Vietnam diatur secara tersebar dalam undang-undang bidang hukum perdata, keamanan informasi siber, transaksi elektronik, dan administrasi kependudukan.

Keempat, ruang lingkup keberlakuan legislasi pelindungan data pribadi di negara-negara ASEAN berbeda.

Regulasi PDP Malaysia mengatur pemrosesan data pribadi terkait transaksi komersial. Legislasi PDP Singapura menekankan pada pemrosesan data pribadi di sektor privat.

Regulasi PDP Thailand tidak berlaku terhadap sektor publik, seperti parlemen, senat, dan lembaga peradilan.

Indonesia, sebaliknya menerapkan prinsip-prinsip perlindungan data pribadi bagi sektor publik dan privat. Hal ini didasarkan pada premis bahwa hak atas pelindungan data pribadi merupakan bagian dari hak konstitusional.